Duolingo adalah situs web dan aplikasi pembelajaran bahasa terbesar di dunia dengan lebih dari 74 juta pengguna bulanan. Menurut Bleeping Computer, kebocoran data pribadi pengguna Duolingo memungkinkan peretas melakukan serangan phishing yang tertarget.
Pada bulan Januari 2023, sebuah akun di forum peretas menjual data yang dikumpulkan dari 2,6 juta pengguna Duolingo seharga $1.500, dan forum tersebut telah ditutup.
Data ini mencakup kredensial login, nama asli, dan informasi non-publik, termasuk alamat email dan informasi internal terkait layanan Duolingo. Meskipun profil pengguna Duolingo menampilkan nama asli dan nama login secara publik, alamat email akan dianonimkan.
Iklan yang menjual 2,6 juta data pengguna Duolingo seharga $1.500
Duolingo mengonfirmasi kepada TheRecord bahwa data yang dikumpulkan dan dijual diambil dari catatan publik, dan bahwa layanan tersebut sedang menyelidiki apakah akan mengambil tindakan pencegahan lebih lanjut. Namun, Duolingo tidak menyebutkan bahwa alamat email juga tercantum dalam data tersebut.
Data dari 2,6 juta pengguna dirilis kemarin di versi baru forum peretas hanya dengan $2,13. Data tersebut dikumpulkan menggunakan antarmuka pemrograman aplikasi (API) yang telah dibagikan secara publik sejak Maret 2023.
API Duolingo ini memungkinkan siapa pun untuk mengirimkan permintaan informasi profil publik pengguna. Namun, Anda juga dapat memberikan alamat email ke API dan mengonfirmasi apakah alamat tersebut terkait dengan akun Duolingo.
BleepingComputer mengatakan API tersebut tetap tersedia untuk publik bahkan setelah penyalahgunaannya dilaporkan ke Duolingo pada bulan Januari.
Kemungkinan peretas memasukkan jutaan alamat email—yang kemungkinan terekspos dalam pelanggaran data sebelumnya—ke dalam API untuk memeriksa apakah alamat-alamat tersebut milik akun Duolingo. Alamat-alamat email ini kemudian digunakan untuk membuat kumpulan data yang berisi informasi publik dan non-publik.
Peretas mengunggah ulang data 2,6 juta pengguna Duolingo dengan harga sangat murah
Perusahaan cenderung membuang data yang dikumpulkan karena sebagian besarnya sudah bersifat publik. Namun, ketika data publik dicampur dengan data pribadi seperti nomor telepon dan alamat email, informasi yang terekspos menjadi lebih berisiko dan berpotensi melanggar undang-undang perlindungan data.
Pada tahun 2021, Facebook mengalami pelanggaran data besar-besaran setelah API "Tambah Teman"-nya disalahgunakan untuk menghubungkan nomor telepon ke akun Facebook milik 533 juta pengguna. Komisi Perlindungan Data Irlandia (DPC) mendenda Facebook sebesar €265 juta ($275,5 juta) karena menyebabkan pelanggaran data tersebut. Sebuah bug baru-baru ini di API Twitter digunakan untuk mencuri data publik dan alamat email jutaan pengguna, yang menyebabkan investigasi DPC. Duolingo belum menjelaskan mengapa mereka membiarkan API-nya terbuka untuk umum setelah adanya laporan penyalahgunaan.
[iklan_2]
Tautan sumber
Komentar (0)